AWS App Runner 自 2026 年 4 月 30 日起，不再開放給新客戶。如果您想要使用 App Runner，請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[AWS App Runner 可用性變更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為傳入流量啟用私有端點
<a name="network-pl"></a>

根據預設，當您建立 AWS App Runner 服務時，可透過網際網路存取該服務。不過，您也可以將 App Runner 服務設為私有，並且只能在 Amazon Virtual Private Cloud (Amazon VPC) 內存取。

透過 App Runner 服務私有，您可以完全控制傳入的流量，增加額外的安全層。這在各種使用案例中很有用，包括執行內部 APIs、公司 Web 應用程式或仍在開發中且需要更高層級隱私權和安全性的應用程式，或需要滿足特定合規要求的應用程式。

**注意**  
如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則，您必須對私有端點使用安全群組規則，而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此，與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。  
若要進一步了解基礎設施安全和安全群組，包括最佳實務，請參閱《*Amazon VPC 使用者指南*》中的下列主題：使用安全群組[控制網路流量](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)和控制 AWS 資源的流量。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)

當您的 App Runner 服務為私有時，您可以從 Amazon VPC 內存取您的服務。不需要網際網路閘道、NAT 裝置或 VPN 連線。

**注意**  
App Runner 支援IPv4流量和傳出流量的 IPv4 和雙堆疊 (IPv4 和 IPv6)。

## 考量事項
<a name="network-pl.considerations"></a>
+ 在您設定 App Runner 的 VPC 介面端點之前，請檢閱《 *AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
+ App Runner 不支援 VPC 端點政策。根據預設，允許透過 VPC 介面端點完整存取 App Runner。或者，您可以將安全群組與端點網路介面建立關聯，以控制透過 VPC 介面端點傳送至 App Runner 的流量。
+ 如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則，您必須對私有端點使用安全群組規則，而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此，與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。
+  啟用私有端點之後，您的服務只能從 VPC 存取，也無法從網際網路存取。
+  為了提高可用性，建議您為 VPC 介面端點在可用區域之間至少選取兩個不同的子網路。我們不建議僅使用一個子網路。
+ 如果您要為 IP 地址類型選擇雙堆疊選項，請確保您的子網路可以支援雙堆疊流量。
+  您可以使用相同的 VPC 介面端點來存取 VPC 中的多個 App Runner 服務。

如需本節所用詞彙的資訊，請參閱[術語](network-terms.md)。

## 許可
<a name="network-pl.permissions"></a>

 以下是啟用**私有端點**所需的許可清單：
+  ec2：CreateTags 
+  ec2:CreateVpcEndpoint 
+  ec2:ModifyVpcEndpoint 
+  ec2:DeleteVpcEndpoints 
+  ec2：DescribeSubnets 
+  ec2:DescribeVpcEndpoints 
+  ec2：DescribeVpcs 

## VPC 介面端點
<a name="network-pl.VPC-ie"></a>

VPC 介面端點是將 Amazon VPC 連線至端點服務*AWS PrivateLink*的資源。您可以透過傳遞 VPC 介面端點，指定要在其中存取 App Runner 服務的 Amazon VPC。若要建立 VPC 介面端點，請指定下列項目：
+  啟用連線的 Amazon VPC。
+  新增安全群組。根據預設，安全群組會指派給 VPC 介面端點。您可以選擇建立自訂安全群組的關聯，以進一步控制傳入的網路流量。
+  新增子網路。為了確保更高的可用性，建議您為存取 App Runner 服務的每個可用區域至少選取兩個子網路。網路介面端點會在您為 VPC 介面端點啟用的每個子網路中建立。這些是請求者管理的網路介面，可做為目的地為 App Runner 之流量的進入點。申請者管理的網路界面是 AWS 服務代表您在 VPC 中建立的網路界面。
+  如果您使用 API，請新增 App Runner VPC 介面端點 `Servicename`。例如 

  ```
  com.amazonaws.region.apprunner.requests
  ```

 您可以使用下列其中一個 AWS 服務建立 VPC 介面端點：
+ App Runner 主控台。如需詳細資訊，請參閱[管理私有端點](network-pl-manage.md)。
+  Amazon VPC 主控台或 API，以及 AWS Command Line Interface (AWS CLI)。如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[透過 AWS PrivateLink存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」。

**注意**  
您需要為根據[AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)使用的每個 VPC 介面端點付費。因此，為了提高成本效益，您可以使用相同的 VPC 介面端點來存取 VPC 中的多個 App Runner 服務。不過，為了獲得更好的隔離，請考慮為每個 App Runner 服務關聯不同的 VPC 介面端點。

## VPC Ingress Connection
<a name="network-pl.vpc-ingress-connection"></a>

*VPC 傳入連線*是一種 App Runner 資源，可指定傳入流量的 App Runner 端點。當您在 App Runner 主控台上為傳入流量選擇**私有端點**時，App Runner 會在幕後指派 VPC 傳入連線資源。選擇此選項，僅允許來自 Amazon VPC 的流量存取您的 App Runner 服務。VPC 傳入連線資源會將您的 App Runner 服務連線至 Amazon VPC 的 VPC 介面端點。只有在您使用 API 操作來設定傳入流量的網路設定時，才能建立 VPC 傳入連線資源。如需如何建立 VPC 輸入連線資源的詳細資訊，請參閱 *AWS App Runner API 參考*中的 [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html.html)。

**注意**  
 App Runner 的一個 VPC 傳入連線資源可以連接到 Amazon VPC 的一個 VPC 介面端點。此外，您只能為每個 App Runner 服務建立一個 VPC 輸入連線資源。

## 私有端點
<a name="network-pl.Private-endpoint"></a>

私有端點是 App Runner 主控台選項，您可以選擇是否只想要接收來自 Amazon VPC 的傳入流量。在 App Runner 主控台上選擇**私有端點**選項，可讓您透過設定 VPC *介面端點，將服務連線至 VPC*。在幕後，App Runner 會將 VPC 輸入連線資源指派給您設定的 VPC 介面端點。

## 摘要
<a name="network-pl.summary"></a>

 只允許來自 Amazon VPC 的流量存取您的 App Runner 服務，讓您的服務成為私有。若要達成此目的，您可以使用 App Runner 或 Amazon VPC 為選取的 Amazon VPC 建立 VPC 介面端點。在 App Runner 主控台上，當您為**傳入流量**啟用**私有端點時，您可以建立 VPC 介面端點**。然後，App Runner 會自動建立 *VPC 輸入連線*資源，並連線至 VPC 介面端點和您的 App Runner 服務。這會建立私有服務連線，以確保只有來自所選 VPC 的流量才能存取您的 App Runner 服務。